TCPIP路由交換技術-私有局域網(wǎng)與Internet的互聯(lián)

私有局域網(wǎng)與Internet的互聯(lián)課程議題通過本次內(nèi)容的學習，希望您能夠： 掌握NAT概念及其特點 掌握NAT工作原理 掌握NAT工作原方式 學會靜態(tài)NAT配置、動態(tài)NAT配置和PAT配置學習目標１４.1

NAT概念和特點問題提出隨著Internet技術的飛速發(fā)展，起來越多的用戶加入到Internet，無論在辦公室、賓館、學校、公司及家庭，人們都需要接入Internet進行辦公、娛樂等，互聯(lián)網(wǎng)中任何兩臺主機間通信需要全球唯一的IP地址。目前，Internet的一個重要問題是IP地址需求急劇膨脹，IP地址空間已近衰竭，而NAT的使用恰好緩解了這個問題。解決辦法還可以通過其它的一些技術來節(jié)省IP地址的使用如：1.可變長子網(wǎng)掩碼（VLSM）2.無類域間路由（CIDR）3.網(wǎng)絡地址轉換（NAT）4.IPv6：為解決IP地址耗盡問題，IPv6應該是最終的解決手段，但是由于現(xiàn)有網(wǎng)絡都使用IPv4，絕大多數(shù)都不支持IPv6，要升級設備需要大量的資金，是一個長期且浩大的工程。5什么是NATNAT（NetworkAddressTranslation）就是將網(wǎng)絡地址從一個地址空間轉換到另外一個地址空間的行為。它使得一個使用私有地址的網(wǎng)絡中的主機以合法地址出現(xiàn)在Internet上。Internet/24/24為什么需要NAT?IP地址危機

IPv4地址空間不足在為企業(yè)內(nèi)部網(wǎng)絡、測試實驗室或家庭進行網(wǎng)絡編址時，可以使用私有地址，而不必每臺設備都花錢從ISP或注冊中心哪里獲得全球唯一的地址。

—55（/8）

—55（/12）

—55（/16）

但是這些地址在Internet上是不可被路由的。為什么使用NAT？OutsideInsideInternetNAT

border

routerSASA

內(nèi)網(wǎng)對Internet的訪問網(wǎng)絡安全保護技術節(jié)省IP地址在內(nèi)部局域網(wǎng)提供外部網(wǎng)絡服務使用NAT的優(yōu)缺點優(yōu)點缺點節(jié)省合法地址引入延遲減少地址沖突的機會喪失端到端的IP跟蹤能力靈活連接Internet一些特定應用可能無法正常工作，如IPSEC，GRE，L2TP等維持局域網(wǎng)的私密性，因為內(nèi)部IP地址是不公開的NAT的種類NAT功能通常被集成到路由器、防火墻或單獨的NAT設備中。NAT路由器被置于內(nèi)部網(wǎng)和外網(wǎng)的邊界上，在數(shù)據(jù)包發(fā)送到外部網(wǎng)絡之前將數(shù)據(jù)包的內(nèi)部私有IP地址轉換為Internet上的合法地址。NAT也可以應用到防火墻技術里，把個別IP地址隱藏起來不被外界發(fā)現(xiàn)，使外界無法直接訪問內(nèi)部網(wǎng)絡，從而對內(nèi)部網(wǎng)絡起到保護作用。NAT的類型NAT（NetworkAddressTranslation）：轉換后，一個內(nèi)部本地IP地址對應一個全局IP地址。

NAT又分為：靜態(tài)NAT和動態(tài)NAT。NAPT（NetworkAddressPortTranslation或NPAT）：轉換后，多個內(nèi)部本地地址對應一個全局IP地址。NAT基本原理NAT:NetworkAddressTranslation網(wǎng)絡地址轉換NAT是一種地址映射技術，將主機的私有IP地址映射為一個外部唯一可識別的公用IP地址

Router(NAT)LAN(inside)WAN(outside)1源=目的=234源=目的=源=目的=源=目的=HOSTSERVER上行流下行流

內(nèi)網(wǎng)外網(wǎng)私有IP地址公用IP地址私有地址和公有地址私有地址是指內(nèi)部網(wǎng)絡(局域網(wǎng)內(nèi)部)的主機地址，而公有地址是局域網(wǎng)的外部地址(在因特網(wǎng)上的全球唯一的IP地址)。因特網(wǎng)地址分配組織規(guī)定以下的三個網(wǎng)絡地址保留用做私有地址：

-55-55-55NAT工作原理Internet內(nèi)網(wǎng)內(nèi)部本地地址網(wǎng)絡地址轉換表（簡化）內(nèi)部全局地址HostBAASADDABBSACDANAT/NAPT的術語內(nèi)部本地地址－InsideLocalAddress

指分配給內(nèi)部網(wǎng)絡主機的IP地址，該地址可能是非法的未向相關機構注冊的IP地址，也可能是合法的私有網(wǎng)絡地址。內(nèi)部全局地址－InsideGlobalAddress

合法的全局可路由地址，由網(wǎng)絡信息中心(NIC)或服務提供商提供的可在互聯(lián)網(wǎng)上傳輸?shù)牡刂?在外部網(wǎng)絡代表著一個或多個內(nèi)部本地地址。外部本地地址－OutsideLocalAddress

外部網(wǎng)絡的主機在內(nèi)部網(wǎng)絡中表現(xiàn)的IP地址,該地址不一定是合法的地址,也可能是內(nèi)部可路由地址。外部全局地址－OutsideGlobalAddress

外部網(wǎng)絡分配給外部主機的IP地址，該地址是合法的全局可路由地址。16

內(nèi)部網(wǎng)絡外部網(wǎng)絡Packet1源地址：00目標地址:0Packet1源地址：目標地址:0Packet2源地址：0目標地址:00Packet2源地址：0目標地址:00/240/24NAT路由器NAT/NAPT的術語內(nèi)部本地地址內(nèi)部全局地址PC1PC2雙向NATPC1外部網(wǎng)絡Packet1源地址：00目標地址:Packet1源地址：目標地址:0Packet2源地址：目標地址:00Packet2源地址：0目標地址:00/240/24NAT路由器內(nèi)部全局地址外部全局地址內(nèi)部本地地址外部本地地址PC2１４.２靜態(tài)ＮＡＴ配置課程議題靜態(tài)NAT靜態(tài)NAT:

建立內(nèi)部本地地址和內(nèi)部全局地址的一對一的永久映射.永久的一對一IP地址映射關系需要向外部網(wǎng)絡提供信息服務的主機的IP地址必采用靜態(tài)NAT.NAT轉換的過程可以是動態(tài)或靜態(tài)NAT配置靜態(tài)NAT1.定義內(nèi)部源地址與全局地址的靜態(tài)轉換關系

Router(config)#ipnatinsidesourcestaticlocal-addressglobal-address說明：local-address:內(nèi)部私有地址;global-address:內(nèi)部全局地址2.定義連接內(nèi)部網(wǎng)絡的接口Router(config)#interfaceinterface-typeinterface-numberRouter(config-if)#ipnatinside3.定義連接外部網(wǎng)絡的接口Router(config)#interfaceinterface-typeinterface-number

Router(config-if)#ipnatoutside工作任務1：靜態(tài)NAT配置背景描述：你是某公司的網(wǎng)絡管理員，內(nèi)部網(wǎng)絡有FTP服務器可以為外部用戶提供服務，服務器的IP地址必須采用靜態(tài)地址轉換，以便外部用戶可以使用這些服務。NAT/24R1R2F0/0F0/1F0/0/24/24內(nèi)部網(wǎng)絡外部網(wǎng)絡問題：如果要外網(wǎng)的主機訪問到內(nèi)網(wǎng)，路由器還需要配置什么？/24/24/24F0/1PC1/24工作要求①根據(jù)實際情況設計網(wǎng)絡拓撲結構②根據(jù)客戶需求制定配置方案和步驟，并以此為依據(jù)對網(wǎng)絡設備進行配置和調(diào)試。③將配置方案及主要命令記錄在工作過程記錄單上。④每一配置步驟都要求進行相應的驗證以保證當前配置的可靠性，尤其驗證NAT地址的轉換。⑤討論：如果要外網(wǎng)的主機訪問到內(nèi)網(wǎng)，路由器還需要配置什么？配置步驟定義NAT轉換關系指定內(nèi)部網(wǎng)絡接口指定外部網(wǎng)絡接口配置默認路由配置回程路由測試NAT轉換結果NAT的監(jiān)視和維護命令顯示命令showipnatstatistics

：顯示轉換的統(tǒng)計信息showipnattranslations：顯示激活的轉換清除狀態(tài)命令clearipnattranslation*

：從NAT轉換表中清除所有的動態(tài)地址轉換條目總結：項目完成注意事項不要把inside和outside應用的接口弄錯。要加上能使數(shù)據(jù)包向外轉發(fā)的路由，比如默認路由。１４.３動態(tài)ＮＡＴ配置課程議題配置步驟定義NAT轉換關系指定內(nèi)部網(wǎng)絡接口指定外部網(wǎng)絡接口配置默認路由案例分析某公司有員工60人，其中，市場部10人，產(chǎn)品銷售部20人，技術部20人，其他部門10人。一些員工因工作需要經(jīng)常出差，平均每天在公司辦公人員30人。公司網(wǎng)絡使用/24地址組網(wǎng)，為了訪問Intenet，申請了30個公有IP地址，請你合理配置公司網(wǎng)絡，確保公司計算機能夠訪問Internet。相關知識

動態(tài)NAT簡介動態(tài)NAT在路由器中建立一個地址池，放置可用的內(nèi)部全局地址。當有內(nèi)部本地地址需要轉換時，查詢地址池，取出內(nèi)部全局地址，實現(xiàn)地址轉換。當使用完畢后，這個內(nèi)部全局地址返回地址池，供其他用戶使用。

動態(tài)NAT動態(tài)NAT:建立內(nèi)部本地地址和內(nèi)部全局地址池的臨時映射.臨時的一對一IP地址映射關系適用于只訪問外網(wǎng)服務，不提供信息服務的主機內(nèi)部主機數(shù)可以大于全局IP地址數(shù)動態(tài)NAT工作過程動態(tài)NAT轉換（訪問過程）動態(tài)NAT轉換（響應過程）動態(tài)NAT工作過程配置動態(tài)NAT（1）定義一個可以根據(jù)需要進行分配的全局IP地址池1.Router(config)#ipnatpoolpool-namestart-addressend-address{netmask

mask}說明：

address-pool：地址池的名稱（可任意設定）

start-address：在地址池中定義地址范圍的起始IP地址

end-address：在地址池中定義地址范圍的結束IP地址

netmaskmask：定義網(wǎng)絡掩碼

例：定義一個NAT地址池。Router(config)#ipnatpoolmynatpool00netmask配置動態(tài)NAT（2）定義一個標準訪問列表，只有匹配該列表的地址才可以進行動態(tài)地址轉換Router(config)#access-list<1-99>

permitIP地址反掩碼定義內(nèi)部源地址動態(tài)轉換關系：將由access-list指定的內(nèi)部本地地址與指定的內(nèi)部合法地址池進行地址轉換Router(config)#ipnatinsidesourcelist標準ACL號pool地址池的名稱例如：將訪問控制列表用于NAT地址池。Router(config)#access-list20permit55Router(config)#ipnatinsidesourcelist20

pool

mynatpool配置動態(tài)NAT（3）定義該接口連接內(nèi)部網(wǎng)絡Router(config)#interfaceinterface-typeinterface-numberRouter(config-if)#ipnatinside定義接口連接外部網(wǎng)絡Router(config)#interfaceinterface-typeinterface-numberRouter(config-if)#ipnatoutside例如：Router(config)#interfaces0/1/0Router(config-if)#ipnatoutsideRouter(config)#interfacef0/0Router(config-if)#ipnatinside工作任務1：動態(tài)NAT配置背景描述：某公司局域網(wǎng)使用私有地址/24網(wǎng)段，通過路由器與Internet連接。公司申請公有地址為－0，在路由器上進行動態(tài)NAT轉換，實現(xiàn)局域網(wǎng)主機訪問Internet.NAT/24R1R2F0/0F0/1F0/0/24/24內(nèi)部網(wǎng)絡外部網(wǎng)絡問題：如果要外網(wǎng)的主機訪問到內(nèi)網(wǎng)，外部路由器還需要配置什么？/24/24F0/1/24/24工作要求①根據(jù)實際情況設計網(wǎng)絡拓撲結構②根據(jù)客戶需求制定配置方案和步驟，并以此為依據(jù)對網(wǎng)絡設備進行配置和調(diào)試。③將配置方案及主要命令記錄在工作過程記錄單上。④每一配置步驟都要求進行相應的驗證以保證當前配置的可靠性，尤其驗證NAT地址的轉換。⑤討論：如果要外網(wǎng)的主機訪問到內(nèi)網(wǎng)，路由器還需要配置什么？配置步驟定義地址池定義ACL關聯(lián)POOL與ACL定義內(nèi)部端口定義外部端口配置默認路由配置回程路由測試NAT轉換結果總結：項目完成注意事項除了與靜態(tài)NAT配置相同的注意事項外，大家在配置ACL時，要注意網(wǎng)絡通配符是反掩碼１４.４NAPT的配置課程議題配置步驟定義地址池定義ACL關聯(lián)POOL與ACL定義內(nèi)部端口定義外部端口配置默認路由NAT與NAPT的區(qū)別是什么NAT（NetworkAddressTranslation）：轉換后，一個內(nèi)部本地IP地址對應一個全局IP地址。不能同時滿足所有的內(nèi)部網(wǎng)絡主機與外部網(wǎng)絡通信的需要。NAPT（NetworkAddressPortTranslation或NPAT）：轉換后，多個內(nèi)部本地地址對應一個全局IP地址。NAPTNAPT只需要一個內(nèi)部全局地址就可以映射多個內(nèi)部本地地址，通過端口號來區(qū)分不同主機。

NAPT分為靜態(tài)NAPT及動態(tài)NAPT。常見的端口號FTP TCP 20，21Telnet TCP 23HTTP TCP 80DNS TCP,UDP53TFTP UDP 69Well-known端口：0-1023注冊端口：1024-49151動態(tài)或私有端口：49152-65535主機A102823…源端口目的端口主機B應用客戶端使用的源端口號一般為系統(tǒng)中未使用的且大于1023目的端口號為所進行的操作。如telnet為23。源/目的端口號102823SP.DP.102Seq.302Ack.102823DP.101Seq.301Ack.102823SP.DP.102Seq.301Ack.102823SP.DP.103Seq.302Ack.SP.TCP的工作過程hostAhostB靜態(tài)與動態(tài)NAPT靜態(tài)NAPT適用于需要向外網(wǎng)絡提供信息服務的主機永久的一對一“IP地址+端口”映射關系動態(tài)NAPT只訪問外網(wǎng)服務，不提供信息服務的主機臨時的一對一“IP地址＋端口”映射關系靜態(tài)NAPT工作過程內(nèi)網(wǎng)中有一臺Web服務器和一臺FTP服務器，使用靜態(tài)NAPT可以將兩臺服務器都映射到一個公有地址（）上，并使用不同的端口號進行區(qū)分。靜態(tài)NAPT工作過程靜態(tài)NAPT配置（1）定義靜態(tài)轉換關系

Router(config)#ipnatinsidesourcestaticprotocollocal-ip

local-port

global-ipglobal-port

其中：protocol為TCP或UDP；local-ip為本地地址；global-ip為全局地址；local-port為本地地址的服務端口號；global-port為全局地址的服務端口號。（2）定義端口類型

Router(config-if)#ipnat{inside|outside}其中：inside表示連接內(nèi)部網(wǎng)絡端口；outside表示連接外部網(wǎng)絡端口。

靜態(tài)NAPT配置顯示NAPT配置顯示轉換記錄Router#showipnattranslations工作任務－靜態(tài)NAPT配置案例背景：公司W(wǎng)eb服務器主機地址為，需要將網(wǎng)站私有地址映射成全局合法地址，以便網(wǎng)站對外發(fā)布，使外網(wǎng)用戶可以訪問。NATR1R2F0/0F0/1S0/24/24/24Internet靜態(tài)NAPT配置Router(config)#ipnatinsidesourcestatictcp80Router(config)#interfaceFastEthernet0/0Router(config-if)#ipaddressRouter(config-if)#ipnatinsideRouter(config-if)#exitRouter(config)#interfaceFastEthernet0/1Router(config-if)#ipaddressRouter(config-if)#ipnatoutsideRouter(config-if)#exitRouter(config)#iproutef0/1Router#showipnattranslations動態(tài)NAPT工作過程動態(tài)NAPT轉換（訪問過程）

動態(tài)NAPT工作過程動態(tài)NAPT轉換（響應過程）

案例引導背景描述：你是某公司的網(wǎng)絡管理員，公司只向ISP申請了一個合法的IP地址。假設你是該公司的網(wǎng)絡管理員，現(xiàn)要你在路由器上做適當配置，使內(nèi)網(wǎng)的計算機都能訪問互聯(lián)網(wǎng)。NATR1R2F0S0S0/24/24NAPT案例

例如：50個內(nèi)部節(jié)點可以用同一個全球地址5來瀏覽同一個網(wǎng)站（比如服務器63的80端口），但是每個節(jié)點都使用不同的源端口號。當Web服務器應答5時，NAT設備用應答數(shù)據(jù)包中的目的端口來決定它們是去往哪個內(nèi)部用戶，并將該內(nèi)部主機的IP地址放到包頭中。

協(xié)議內(nèi)部本地IP地址：端口內(nèi)部全局IP地址：端口外部全局IP地址：端口TCPTCPTCP1:13272:11265:12705:13275:11265:127063:8063:802:80NAPT轉換過程配置動態(tài)NAPT1.定義全局IP地址池，對于NAPT，一般就定義一個IP地址

Router(config)#ipnatpoolpool－namestart-addressend-address{netmask

mask|prefix-length

prefix-length}2.定義編號標準訪問列表，只有匹配該列表的地址才轉換Routert(config)#access-listaccess-list-numberpermit

ip-addresswildcard

3.

定義內(nèi)部源地址動態(tài)轉換關系Router(config)#ipnatinsidesourcelist

access-list-number

pool

pool-nameoverload4.定義該接口連接內(nèi)部網(wǎng)絡Router(config)#interfaceinterface-typeinterface-number

Routert(config-if)#ipnatinside5.定義接口連接外部網(wǎng)絡Routert(config)#interfaceinterface-typeinterface-number

Routert(config-if)#ipnatoutside工作任務：動態(tài)NAPT的配置背景描述：某公司局域網(wǎng)使用私有地址為/24網(wǎng)段，通過路由器和Internet連接。公司申請公有地址為~，在路由器上進行動態(tài)NAPT轉換，實現(xiàn)局域網(wǎng)主機訪問Internet.NATR1F0/0F0/1F0/0/24/24F0/10/24/24/24工作要求①根據(jù)實際情況設計網(wǎng)絡拓撲結構②根據(jù)客戶需求制定配置方案和步驟，并以此為依據(jù)對網(wǎng)絡設備進行配置和調(diào)試。③將配置方案及主要命令記錄在工作過程記錄單上。④每一配置步驟都要求進行相應的驗證以保證當前配置的可靠性，尤其驗證NAT地址的轉換。⑤討論：如果要外網(wǎng)的主機訪問到內(nèi)網(wǎng)，路由器還需要配置什么？配置步驟定義地址池定義ACL關聯(lián)POOL與ACL定義內(nèi)部端口定義外部端口配置默認路由配置回程路由測試NAT轉換結果動態(tài)NAPT配置Router(config)#ipnatpoolto_internetnetmaskRouter(config)#access-list10permit